: :

ПнВтСрЧтПтСбВс

2017-11-13 16:53:18 8370 0

Добавление CentOs 7 в домен Windows

В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.

Отключаем SELINUX

sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config

Установка iptables

systemctl stop firewalld

systemctl disable firewalld

yum install -y iptables-services

После установки запускаем iptables

systemctl start iptables

systemctl enable iptables

Устанавливаем необходимые пакеты:

yum install -y authconfig samba samba-winbind samba-client \ 

pam_krb5 krb5-workstation vim net-tools bind-utils samba-winbind-clients

Настройка DNS

Указываем в качестве DNS сервера наш контроллер домена

cat /etc/resolv.conf

# Generated by NetworkManager
search test.un
nameserver 172.20.1.56

Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена

Проверяем что имя домена резолвится

nslookup test.un

Получаем следующее:

Server:		172.20.1.56
Address:	172.20.1.56#53

Name:	test.un
Address: 172.20.1.56

Присоединение сервера к домену

Запускаем утилиту authconfig-tui

Настройка аутентификации

Указываем:
Информация пользователя - Использовать Winbind
Аутентификация - Использовать Kerberos

Жмем далее

Настройка Kerberos

Заполняем следующие поля:

  • Область - область kerberos, совпадает с именем домена в верхнем регистре;
  • KDC(Key Distribution Center ) - kerberos сервер, выступает как сервер по управлению и хранению билетов;
  • Сервер администратор - совпадает с KDC;
  • Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.

Жмем далее

Настройка Winbind

Заполняем следующие поля:

  • Модель защиты - выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
  • Домен - вводим NetBios имя домена, без конечно части;
  • Контроллеры домена - указываем адреса контроллеров домена;
  • Область ADS - совпадает с именем домена;
  • Оболочка шаблона - указывает какую оболочку будут иметь доменные пользователи на linux машине.

Жмем ОК

Запускаем демон Winbind

systemctl start winbind

systemctl enable winbind

Далее производим присоединение к домену

net ads join -U Administrator

Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее: 

Using short domain name -- TEST
Joined "CENTOS7-TEST" to dns domain "test.un"
No DNS domain configured for centos7-test. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

Машина в домене

AD Users and computers

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки

winbind enum users = yes
winbind enum groups = yes

Для проверки можно использовать утилиту wbinfo и getent

wbinfo -u

Покажет пользователей домена:

TEST\administrator
TEST\guest
TEST\krbtgt
TEST\test1
TEST\test2

wbinfo -g

Покажет группы домена:

TEST\winrmremotewmiusers__
TEST\domain computers
TEST\domain controllers
TEST\schema admins
TEST\enterprise admins
TEST\cert publishers
TEST\domain admins
TEST\domain users
TEST\domain guests
TEST\group policy creator owners
TEST\ras and ias servers
TEST\allowed rodc password replication group
TEST\denied rodc password replication group
TEST\read-only domain controllers
TEST\enterprise read-only domain controllers
TEST\cloneable domain controllers
TEST\protected users
TEST\dnsadmins
TEST\dnsupdateproxy
TEST\samba

Команда "getent passwd" и "getent group" отобразит локальные учетные записи + доменные и точно так же группы соответственно

getent passwd

....
test:x:1000:1000:test:/home/test:/bin/bash
TEST\administrator:*:16777216:16777218::/home/TEST/administrator:/bin/bash
TEST\guest:*:16777217:16777218::/home/TEST/guest:/bin/bash
TEST\krbtgt:*:16777218:16777218::/home/TEST/krbtgt:/bin/bash
TEST\test1:*:16777219:16777218::/home/TEST/test1:/bin/bash
TEST\test2:*:16777220:16777218::/home/TEST/test2:/bin/bash

Для использования доменных учетных записей необходимо сделать следующее:

  1. Изменить значение директивы "winbind use default domain" в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.

    [root@centos7-test test]# su test1
bash-4.2$ id
uid=16777219(test1) gid=16777218(domain users)
группы=16777218(domain users),16777217(BUILTIN\users)
  2. Добавить директиву "winbind separator" в файл /etc/samba/smb.conf

    winbind separator = ^

    Что указывает символ отделения имени домена от имени пользователя.






Введите ответ:

+

=